一個名為“Hazy Hawk”的黑客劫持了被遺忘的DNS CNAME記錄，這些記錄指向被拋棄的云服務，并接管了政府、大學和財富500強公司的可信子域名，以分發詐騙、虛假應用程序和惡意廣告。

根據Infoblox研究人員的說法，Hazy Hawk首先掃描帶有指向廢棄云端點的CNAME記錄的域，他們通過被動DNS數據驗證來確定。

接下來，他們注冊一個與廢棄CNAME中的名稱相同的新云資源，導致原始域的子域解析到威脅者的新云托管站點。

使用這種技術，威脅者劫持多個域名來掩蓋惡意活動，托管詐騙內容，或將它們用作詐騙操作的重定向中心。

被劫持域名的部分值得注意的例子包括：

·cdc.gov -美國疾病控制和預防中心

·honeywell.com-跨國企業集團

·berkeley.edu -加州大學伯克利分校

·michelin.co.uk -米其林輪胎英國

·ey.com、pwc.com、deloitte.com——全球四大咨詢公司

·ted.com –著名的非營利媒體組織（TED演講）

·Health .gov.au -澳大利亞衛生部

·unicef.org -聯合國兒童基金會

·nyu.edu -紐約大學

·unilever.com -全球消費品公司

·ca.gov -加利福尼亞州政府

一旦攻擊者獲得對子域的控制，他們就會在子域下生成數百個惡意url，由于父域的高信任度，這些url在搜索引擎中看起來是合法的。

點擊url的受害者會被重定向到多個層次的域名和TDS基礎設施，這些基礎設施會根據他們的設備類型、IP地址、VPN使用情況等對他們進行分析，以確定受害者的資格。

Hazy Hawk襲擊的概況

Infoblox的報告稱，這些網站被用于技術支持詐騙、虛假的防病毒警報、虛假的流媒體/色情網站和網絡釣魚頁面。且允許瀏覽器推送通知的用戶即使在離開詐騙網站后也會收到持續的警報，這可以為Hazy Hawk帶來可觀的收入。

活動中的推送通知例子

同樣的研究人員之前報告了另一個威脅者——“Savvy Seahorse,”，他也濫用CNAME記錄來建立一個非典型的TDS，將用戶重定向到虛假的投資平臺。

CNAME記錄很容易被忽視，因此它們容易被暗中濫用，似乎越來越多的威脅者意識到這一點，并試圖利用這一點。

在“Hazy Hawk的案例中，該行動的成功還依賴于組織在云服務退役后未能刪除DNS記錄，這使得攻擊者可以在沒有身份驗證的情況下復制原始資源名稱。

參考及來源：https://www.bleepingcomputer.com/news/security/hazy-hawk-gang-exploits-dns-misconfigs-to-hijack-trusted-domains/